事故から学ぶ

「ペットハグサイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

事故概要

業種 ECサイト
発生時期 2018/06/28-2019/05/20
漏えい人数 4,098人
事故概要

弊社が運営する「ペットハグサイト」が第三者による不正アクセスを受け、お客様のクレジットカード情報が流出した可能性があることが判明いたしました。
1.経緯
2019年5月7日、一部のクレジットカード会社から、「ペットハグサイト」を利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2019年5月7日弊社が運営する「ペットハグサイト」でのカード決済を停止いたしました。同時に、第三者調査機関による調査も開始いたしました。2019年6月19日、調査機関による調査が完了し、2018年6月28日~2019年5月7日の期間に「ペットハグサイト」にてクレジットカード決済をされたお客様のクレジットカード情報、および2019年5月18日~2019年5月20日の期間に「ペットハグサイト」にてクレジットカード情報を入力されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

2.クレジットカード情報流出の原因
弊社が運営する「ペットハグサイト」のシステムの脆弱性をついた第三者不正アクセス。(1)ペイメントモジュールの改ざんにより、2018年6月28日~2019年5月7日の期間に「ペットハグサイト」においてクレジットカード決済をされたお客様のクレジットカード情報が抜き出されていた。
(2)「ペットハグサイト」の改ざんにより、「ペットハグサイト」から偽の決済フォームへ誘導されていたため、2019年5月18日~2019年5月20日の期間に偽の決済フォームへ入力したお客様のクレジットカード情報が抜き出されていた。
3.クレジットカード情報流出の可能性があるお客様
(1)2018年6月28日~2019年5月7日の期間、「ペットハグサイト」においてクレジットカード決済をされたお客様
【情報流出した可能性がある項目】
・クレジットカード名義人名
・クレジットカード番号

・有効期限
・セキュリティーコード
【件数】
4,011件
(2)2019年5月18日~2019年5月20日の期間、「ペットハグサイト」より誘導された偽決済フォームへクレジットカード情報を入力されたお客様
※偽の決済フォームに誘導されていたため、取引成立・不成立に関わらず、クレジットカード情報を入力した全てのお客様全員が対象となります。
※対象のお客様のクレジットカード情報は特定できておりません。
【情報流出した可能性がある項目】
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード
【件数】
87件
上記に該当するお客様については、別途、書状にて個別にご連絡申し上げます。

引用元 株式会社ペットハグ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

漏えいされた本人への通知は事前に行われたか不明であるが、発表までに時間がかかりすぎている点が問題である。不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。
自社内PCのウイルス対策ソフトの最新化をタイムリーに行うこと。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。従業者教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。